Notícias de dispositivos móveis, gadgets, aplicativos Android

Bug no serviço de domínio do Active Directory permite que invasores assumam o controle Windows Domínios

Durante o patch de terça-feira de novembro de 2021, duas falhas de segurança de escalonamento de privilégios de serviço de domínio do Active Directory foram detectadas recentemente por Andrew Bartlett da Catalyst IT, e essas duas falhas de segurança permitem que hackers assumam o controle Windows domínios facilmente quando eles estão unidos.

A Microsoft sugeriu que os usuários corrigissem imediatamente essas duas falhas de segurança de escalonamento de privilégios do serviço de domínio do Active Directory que são rastreadas como:-

  • CVE-2021-42287: fraude KDC
  • CVE-2021-42278: Representação do nome SAM

Aqui está o que a Microsoft afirmou:-

“Este ataque de escalonamento permite que os invasores elevem facilmente seu privilégio ao de administrador de domínio, uma vez que comprometam um usuário regular no domínio. Como sempre, recomendamos fortemente a implantação dos patches mais recentes nos controladores de domínio o mais rápido possível.”

Nas configurações padrão, do usuário padrão do Active Directory para um administrador de domínio, você pode facilmente usar a ferramenta para escalar esses privilégios. Além disso, para um determinado objeto vários esquemas de nomenclatura são usados ​​pelo AD (Active Directory) e são como: –

  • nomePrincipal do usuário (UPN)
  • sAMAccountName (Conta SAM)

Como encontrar os sAMAccountNames?

Para encontrar os sAMAccountNames você deve seguir alguns passos simples que mencionamos abaixo: –

  • Primeiro, você deve clicar na opção Exibir.
  • Em seguida, selecione os Recursos Avançados.
  • Depois disso, você deve abrir as propriedades de um objeto.
  • Em seguida, guia Editor de atributos.
  • Por último, role para baixo até sAMAccountName.

Identifique computadores potencialmente comprometidos

Para identificar sistemas e servidores potencialmente comprometidos, a Microsoft compartilhou orientações detalhadas, e aqui as mencionamos abaixo:-

  • A alteração de sAMAccountName é baseada no evento 4662. Certifique-se de habilitá-lo no controlador de domínio para capturar tais atividades.
  • Abra o Microsoft 365 Defender e navegue até Caça Avançada.
  • Copie a seguinte consulta: –
Nós recomendamos:  6 Maneiras de reiniciar seu Windows Computador

Eventos de Diretório de Identidade

| onde carimbo de data / hora> atrás (1d)

| onde ActionType == “Nome da conta SAM alterado”

| estender FROMSAM = parse_json (Campos Adicionais)[‘FROM SAM Account Name’]

| estender TOSAM = parse_json (Campos Adicionais)[‘TO SAM Account Name’]

| onde (FROMSAM tem “$” e TOSAM! tem “$”)

ou TOSAM em (“DC1”, “DC2”, “DC3”, “DC4”) // Nomes de DC na organização

| carimbo de data/hora do projeto, aplicativo, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdicionalFields

  • Substitua a área marcada pela convenção de nomenclatura dos seus controladores de domínio.
  • Execute a consulta e analise os resultados que contêm os dispositivos afetados.
  • Examine minuciosamente todos os computadores e servidores comprometidos para determinar se eles foram transformados em armas ou não.

Seguindo as etapas acima, você pode identificar facilmente sistemas e servidores potencialmente comprometidos para tomar as medidas adequadas para evitar tais ataques no futuro.

Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.